Un subdolo problema di sicurezza, ignorato dai cattivi

Frank Boldewin aveva visto molti software dannosi ai suoi tempi, ma mai niente come Rustock.C.

Usato per infettare i PC Windows e trasformarli in server spam indesiderati, Rustock.C è un rootkit che si installa sul sistema operativo Windows e quindi usa una varietà di tecniche sofisticate che rendono quasi impossibile rilevarlo o persino analizzarlo.

Quando iniziò a guardare il codice all'inizio di quest'anno, avrebbe semplicemente causato il crash del suo computer. C'era la crittografia a livello di driver, che doveva essere decrittografata, ed era scritta in linguaggio assembly, usando "spaghetti code structure" che rendeva estremamente difficile per Boldewin capire cosa stava effettivamente facendo il software.

[Letture: Come rimuovere il malware dal PC Windows]

L'analisi di un rootkit è in genere il lavoro di una serata per qualcuno con le abilità tecniche di Boldewin. Con Rustock.C, tuttavia, ci sono voluti giorni per capire come funzionava il software.

Poiché è così difficile da individuare, Boldewin, un ricercatore di sicurezza con il fornitore di servizi IT tedesco GAD, crede che Rustock.C fosse stato in giro per quasi un anno prima che i prodotti antivirus iniziassero a rilevarlo.

Questa è la storia con i rootkit. Sono subdoli. Ma sono una grave minaccia?

Alla fine del 2005, Mark Russinovich scoprì il rootkit più famoso. Un esperto di sicurezza di Windows, Russinovich fu sconcertato un giorno quando scoprì un rootkit sul suo PC. Dopo un po 'di investigazione, ha scoperto che il software di protezione da copia utilizzato da Sony BMG Music Entertainment utilizzava effettivamente le tecniche dei rootkit per nascondersi sui computer. Il software di Sony non è stato progettato per fare qualcosa di malevolo, ma era praticamente inosservabile ed estremamente difficile da rimuovere.

Il rootkit di Sony è diventato un grave disastro di pubbliche relazioni per l'azienda, che ha speso milioni di transazioni legali con gli utenti colpiti dal software.

Tre anni dopo, Russinovich, un collega tecnico con Microsoft, lo considera ancora il rootkit che ha causato più problemi agli utenti di computer.

Ma il rootkit Sony ha presagito problemi anche per i produttori di antivirus. Il fatto che nessuno di loro abbia mai notato questo software per circa un anno è stato un serio occhio nero per l'industria della sicurezza.

Anche se hanno iniziato su macchine Unix anni prima, al momento del fiasco Sony, i rootkit erano considerati la prossima grande minaccia per i produttori di antivirus. I ricercatori della sicurezza hanno esplorato l'uso della tecnologia di virtualizzazione per nascondere i rootkit e hanno discusso se un rootkit completamente inosservabile potesse essere creato un giorno.

Ma Russinovich ora dice che i rootkit non sono riusciti a essere all'altezza del loro clamore. "Non sono così diffusi come tutti si aspettavano che fossero", ha detto in un'intervista.

"Il malware oggi funziona in modo molto diverso da quando stava accadendo la mania del rootkit", ha detto. "Allora … il malware lancia messaggi popup sul tuo desktop e prende il controllo del browser. Oggi vediamo un tipo di malware completamente diverso."

Il malware di oggi funziona silenziosamente in background, inviando spam o ospitando i suoi brutti siti Web senza il la vittima non ha mai notato cosa sta succedendo. Ironia della sorte, sebbene siano costruiti per sfuggire al rilevamento, i rootkit più sofisticati a livello di kernel sono spesso così incredibilmente intrusivi da attirare l'attenzione su di loro, dicono gli esperti di sicurezza.

"È estremamente difficile scrivere codice per il kernel che non crash del tuo computer ", ha dichiarato Alfred Huger, vice presidente del team Security Response di Symantec. "Il tuo software può calpestare facilmente qualcun altro."

Huger concorda che mentre i rootkit sono ancora un problema per gli utenti Unix, non sono diffusi su PC Windows.

I rootkit rappresentano molto meno dell'1% di tutti i tentativi di infezione che Symantec tiene traccia in questi giorni. Per quanto riguarda Rustock.C, nonostante tutta la sua sofisticazione tecnica, Symantec l'ha individuato solo 300 volte.

"Nell'intero spettro del malware, è un pezzo molto piccolo ed è a rischio limitato oggi", ha detto Huger.

Tuttavia, non tutti sono d'accordo con le scoperte di Symantec. Thierry Zoller, direttore della sicurezza dei prodotti con n.runs, afferma che Rustock.C è stato ampiamente distribuito tramite la famigerata Business Network russa e che le infezioni sono molto probabilmente nelle decine di migliaia.

"I rootkit sono stati utilizzati per mantenere l'accesso a un obiettivo compromesso il più a lungo possibile e non ha mai avuto l'obiettivo di diffondersi ampiamente ", ha detto in un'intervista condotta tramite un messaggio istantaneo.

Alla fine, i criminali potrebbero evitare i rootkit per una ragione molto semplice: semplicemente non

Invece di usare tecniche subdole del rootkit, gli hacker hanno invece sviluppato nuove tecniche per rendere difficile ai produttori di antivirus la differenza tra il loro software e i programmi legittimi. Ad esempio, producono migliaia di versioni diverse di un programma dannoso, mescolando ogni volta il codice in modo che i prodotti antivirus non riescano a individuarlo.

Nella seconda metà del 2007, ad esempio, Symantec ha monitorato quasi mezzo milione nuovi tipi di codice dannoso, in crescita del 136 percento rispetto alla prima metà dell'anno. Gli esperti di sicurezza dicono che questa situazione è ancora peggiore nel 2008.

"Le cose che affrontiamo non sono così complicate", ha affermato Greg Hoglund, CEO di HBGary, una società che vende software per aiutare i clienti a rispondere alle intrusioni informatiche. "La maggior parte del malware che esiste al giorno d'oggi … non tenta nemmeno di nascondersi."

Ad esempio, uno dei clienti di HB Gary è stato recentemente colpito da un attacco mirato. I malintenzionati sapevano esattamente cosa volevano e, dopo essere entrati nella rete, hanno cancellato le informazioni prima che il team di risposta agli incidenti della compagnia potesse arrivare anche lì, ha detto Hoglund. "Era molto chiaro che gli aggressori sapevano che sarebbero riusciti a scappare con i dati così rapidamente da non doversi nemmeno nascondere".